Como manter a segurança no WordPress?

Anteriormente falamos sobre a segurança no WordPress, e neste artigo citaremos algumas dicas de como proteger seu site WordPress de forma eficaz.

A instalação de plugins ou componentes de terceiros em seu site WordPress pode criar vulnerabilidades que podem ser exploradas por invasores.

Felizmente, existem medidas importantes que você pode tomar para manter a segurança no WordPress contra tais ameaças.

Veja abaixo, o passo a passo de como prevenir ataques no seu site e deixá-lo mais seguro.

1 – Mantenha temas e plugins atualizados

O WordPress oferece inúmeras opções de plugins e temas disponíveis para seus usuários.

Ao selecionar um plugin ou tema, é essencial verificar as classificações e o suporte oferecido, a fim de avaliar sua confiabilidade e se ele recebe atualizações regulares para problemas conhecidos.

A comunidade do WordPress frequentemente relata problemas de segurança em plugins e temas, portanto, é crucial verificar se há atualizações e instalá-las para garantir que seus plugins estejam corrigidos contra vulnerabilidades.

Como atualizar temas e plugins no WordPress?

Entre no administrador do seu site e vá em: Painel > Atualizações > Plugins

Existe a possibilidade de habilitar a atualização automática para plugins e temas, porém essa função pode ocasionar conflitos, como problemas de formatação, ou até mesmo falha no site.

Portanto, tenha sempre backups configurados no site, para que você não corra o risco de perder nada.

Antes de habilitar a opção é necessário verificar se o WordPress Cron está funcionando corretamente, essa ferramenta faz a verificação das atualizações disponíveis.

Leia também: Como atualizar um tema WordPress sem perder a personalização

2 – Use senhas fortes para o login e hospedagem no WordPress

Ao configurar sua conta de hospedagem ou credenciais de login do site WordPress, é fundamental evitar utilizar nomes de usuário e senhas simples ou padrão (como 12345), pois elas são mais fáceis de adivinhar.

Usar nomes de usuário e senhas complexas pode garantir a segurança da sua conta. O recomendado é que a senha tenha pelo menos 12 caracteres e uma combinação de letras, números e caracteres especiais.

Se você estiver usando um painel de controle de hospedagem, como cPanel ou Plesk, pode verificar com o provedor para mudar o nome de usuário e definir uma senha mais forte, ou também habilitar a autenticação de dois fatores (2FA) para prevenir ataques de força bruta.

Quando estiver configurando usuários para FTP ou sFTP no servidor de hospedagem, é importante evitar o uso de nomes de usuário padrões, como ftp@domain.com.

Além disso, é altamente recomendado utilizar o protocolo sFTP, ao invés do FTP, para garantir que esteja usando a melhor criptografia disponível. Dessa forma, você garante a proteção dos seus dados e informações do site.

3 – Utilize um verificador de plugins vulneráveis

O verificador de plugins no WordPress é uma ferramenta que permite verificar se os plugins instalados em seu site tem risco de serem comprometidos por vulnerabilidades de segurança.

Você pode usar várias ferramentas para verificar a vulnerabilidade dos plugins do seu site WordPress, como o Hacker Target ou o WP SCANS que verifica se o plugin ou tema está infectado.

No site do Sucuri (https://sucuri.net/wordpress-security-plugin/) , é possível escanear seu site e encontrar uma lista com diversas URLs infectadas por malwares.

Já o WP Neuron, por sua vez, verifica por completo as vulnerabilidades do WordPress, incluindo os plugins instalados.

4 – Proteja suas páginas de login do WordPress

Hackers usam scripts que adivinham o login do administrador e acessam o sistema do site.

Como as páginas de login padrão do WordPress, /wp-login.php e /wp-admin, não contém sistema 2F4 ou limita a quantidade de tentativas, torna-se um alvo fácil desse tipo de ataque.

Entretanto é possível deixar as páginas de login do WordPress mais seguras. Confira!

Habilitar autenticação de dois fatores no WordPress

Utilizando um plugin de autenticação em dois fatores, será solicitado ao usuário uma forma adicional de fazer login.

Sendo assim, além do usuário e senha, o sistema pode pedir uma frase, ou um código enviado por email ou sms.

Leia também: Como configurar os menus de navegação em sites WordPress

Mudar a URL de login do WordPress

Modificar a URL padrão da página de login é uma medida adicional de impedir possíveis ataques ao seu site WordPress. Alterando a URL, torna-se muito mais difícil para scripts automatizados e invasores conseguir acessá-las.

Uma das maneiras mais simples de mudar a URL de login do WordPress é utilizando plugins, como WPS Hide Login e Rename wp-login.php.

No entanto, se você tiver conhecimento técnico, também é possível modificar o arquivo .htaccess do seu site, adicionando no começo do arquivo, o seguinte código:

RewriteRule ^login-escolhido$ https://seusite.com/wp-login.php [NC,L]

Substitua “login-escolhido” pelo URL personalizado que você desejar. Este código vai alterar sua página de login para: https://seusite.com/login-escolhido

Lembrando que é importante testar a nova URL de login para ter certeza de que está funcionando corretamente.

Negar todos os acessos desnecessários

Com base em tudo o que foi mencionado, a maneira mais segura de proteger seu site é negar completamente todas as tentativas de acesso ao login – ou painel de administração – a partir de endereços IP que não sejam permitidos.

Ao configurar o acesso ao painel de administração, você pode especificar quais endereços IP são permitidos e bloquear todos os outros. Isso pode ser feito facilmente por meio do firewall do seu site ou por meio de regras no arquivo .htaccess.

Limitar logins com falha

O WordPress, por padrão, não possui uma limitação no número de tentativas de login malsucedidas. No entanto, existem plugins de segurança disponíveis para limitar essas tentativas e proteger sua conta de invasores mal-intencionados.

Muitos desses plugins permitem bloquear um endereço IP após um número especificado de tentativas mal sucedidas, seja por um período de tempo limitado ou permanentemente.

Além disso, o uso de um WAF (Web Application Firewall) como o Sucuri pode ajudar a restringir o acesso à página de login para endereços IP autorizados, oferecendo uma camada extra de proteção.

5 — Programe backups diários do site

Os backups são uma medida crucial para manter seu site WordPress seguro. Se acontecer um erro ou infecção por malware, você vai conseguir recuperar rapidamente seu site.

No servidor de hospedagem ou no painel de controle você pode encontrar ferramentas de backups, com opções de backups diários, semanais ou mensais.

Porém, ao utilizar backups do servidor de hospedagem, pode acontecer de ocupar muito espaço e possíveis problemas de armazenamento.

Para evitar esses problemas, você pode optar por um serviço de backup terceirizado, como o Sucuri Backups.

Em caso de falha do servidor ou problemas de segurança, com os backups fora da hospedagem e do painel de controle, você garante backups confiáveis e atualizados.

Entretanto, se você deseja uma solução fácil, o repositório do WordPress também pode ajudar, já que oferece uma variedade de plugins de backup diferentes.

Alguns desses plugins permitem armazenar backups em seu servidor de hospedagem ou fazer upload de backups para serviços de armazenamento em nuvem, como o Dropbox ou Google Drive.

6 — Instalar um certificado SSL no WordPress

Um certificado SSL (Secure Socket Layer) criptografa dados que são enviados através do site, protegendo a privacidade dos usuários.

Quando um navegador se conecta ao site, verifica a existência de um certificado SSL validado pelo domínio. Isso ajuda a proteger informações de formulários de contato, formulários de pagamento e até mesmo as páginas de login do seu site.

Ter instalado um certificado SSL no WordPress também aumenta a confiança e a credibilidade do site aos olhos dos visitantes.

7 — Use a última versão compatível do PHP

Atualizar o PHP para a versão mais recente é essencial para manter a segurança do seu site WordPress, já que as versões desatualizadas contêm vulnerabilidades.

A versão do PHP recomendada pelo WordPress é 7.4 ou superior.

Utilizando a versão mais recente garante a segurança, além de melhorar o desempenho do seu site WordPress, tornando-o muito mais rápido.

Proporcionando uma melhor experiência ao usuário, o tráfego do site cresce, resultando em melhores classificações nos mecanismos de buscas.

Leia também: Como remover CSS não utilizado no WordPress?

8 — Proteção DIY avançada (.htaccess & wp-config.php)

Se você é habilidoso em codificação e deseja fortalecer a segurança do seu site WordPress, há algumas opções práticas que podem ser adotadas.

Uma delas é adicionar códigos ao arquivo .htaccess, mas lembre-se de fazer um backup do arquivo original antes de fazer alterações.

Restringir logins a um intervalo de IP específico

Para restringir os logins ao seu site WordPress a um intervalo de IP específico, e assim impedir tentativas de login não autorizadas em outros locais, você pode adicionar o seguinte código ao seu arquivo .htaccess:

<FilesMatch “wp-login.php”>
Require ip YOURIP
Require ip YOURIP2
</FilesMatch>

Desative a visualização de diretórios pelo navegador

Ao desativar a visualização de diretórios pelo navegador, você impede que invasores visualizem arquivos e conteúdo da pasta do seu site, quando um diretório não possui um arquivo index (como index.html ou index.php).

Para isso, basta adicionar a seguinte linha de código no arquivo .htaccess:

Options All -Indexes

Desativar XML-RPC

Ao desativar os trackbacks e pingbacks, você pode evitar alguns problemas, mas cuidado, isso também pode afetar a capacidade dos usuários de comentar em seu site.

<FilesMatch “xmlrpc.php”>
require ip YOURIP
</FilesMatch>

Adicionar cabeçalhos de segurança

Adicionar cabeçalhos HTTP personalizados é crucial para a segurança do site, pois eles podem ajudar a proteger contra ataques XSS, injeções de SQL, clickjacking, entre outros.

O arquivo .htaccess permite adicionar cabeçalhos de resposta HTTP personalizados usando a diretiva Header.

<IfModule mod_headers.c>
Header set X-XSS-Protection “1; mode=block”
Header always append X-Frame-Options SAMEORIGIN
Header set X-Content-Type-Options nosniff
Header always set Strict-Transport-Security “max-age=31536000; includeSubdomains; preload”
</IfModule>

Não permitir modificações de arquivo em wp-config.php

Para evitar a instalação de componentes maliciosos em seu ambiente WordPress, adicione o código a seguir em seu arquivo wp-config.php.

define(‘DISALLOW_FILE_EDIT’, true);
define(‘DISALLOW_FILE_MODS’, false);

OBS: Esse recurso limita sua capacidade de instalar e atualizar componentes no painel do WordPress. Portanto, é importante corrigir regularmente seus plugins e temas via WP-CLI para garantir que eles estejam sempre atualizados.

Desative a execução do PHP em /wp-content/uploads

Isso impedirá que os invasores executem código malicioso em sua pasta de uploads, o que pode proteger seu site contra possíveis vulnerabilidades.

Para desativar a execução do PHP na pasta /wp-content/uploads, adicione o seguinte código ao seu arquivo .htaccess:

<FilesMatch *.php>
require ip YOURIP
</FilesMatch>

Tenha em mente que essa ação pode causar interrupções no funcionamento do site.

Por isso, é importante verificar se há problemas de formatação ou outros erros que possam surgir depois de desativar a execução do PHP.

Conclusão sobre como manter a segurança no WordPress

A capacidade de adicionar facilmente novas funcionalidades e recursos é uma vantagem do WordPress, mas também pode trazer novos riscos e vulnerabilidades de segurança.

Cada plugin ou componente de terceiros que é instalado em seu ambiente WordPress aumenta a possibilidade de falha que pode permitir que um invasor obtenha acesso ao seu site.

Porém, seguindo as dicas de segurança acima, você pode manter a segurança no WordPress, tanto para você, quanto para seus clientes.

Caso você não consiga corrigir o erro do seu site, ou manter ele atualizado regularmente, entre em contato com a Lamattina Digital e conheça nosso plano de manutenção para sites em WordPress.